1、升级 WordPress 到最新版本

一般来说，新版本的 WordPress 安全性都会比老版本要好一些，并且解决了已知的各种安全性问题，特别当遇到重大的版本升级时，新版本可能会解决更 多的关键性问题。（例如以前的 2.6 老版本 WordPress 有remv.php重大漏洞，可能会导致遭受DDoS攻击，升级到最新2.7版本可解决这个问题）

2、隐藏WordPress版本

编辑你的 header.php 模板，将里面关于 WordPress 的版本信息都删除，这样黑客就无法通过查看源代码的防治得知你的 WordPress 有没有升级到最新版本。

3、更改 WordPress 用户名

每个黑客都知道 WordPress 的管理员用户是 admin，具有管理员权限，会攻击这个用户，那么你需要创建一个新用户，将其设置为管理员权限，然后删除老的 admin 帐号，这就能避免黑客猜测管理员的用户名。不过 2.9 过后就可以自己定义管理员帐号名字了。可是还是有很多人习惯用 admin 这个帐号。

4、更改WordPress用户密码

安装好 WordPress 后，系统会发送一个随机密码到你的信箱，修改这个密码，因为这个密码的长度只有6个字符，你要将密码修改为10个字符以上的复杂密码，并尽量使用字母、数字、符号相混合的密码。

5、防止WordPress目录显示

WordPress 会默认安装插件到/wp-content/plugins/目录下，通常情况下直接浏览这个目录会列出所有安装的插件名，这很糟糕， 因为黑客可以利用已知插件的漏洞进行攻击，因此可以创建一个空的 index.php 文件放到这个目录下，当然，修改 Apache 的 .htaccess 文件也可以起到相同的作用。

6、保护 wp-admin 文件夹

你可以通过限定IP地址访问 WordPress 管理员文件夹来进行保护，所有其他IP地址访问都返回禁止访问的信息，不过你也只能从一两个地方进行博客管理。另外，你需要放一个新的 .htaccess 文件到 wp-admin 目录下，防止根目录下的 .htaccess 文件被替换。也可以用 301 转向来把这个地址转变为你自己定义的地址。

7、针对搜索引擎的保护

很多 WordPress 系统文件不需要被搜索引擎索引，因此，修改你的 robots.txt 文件，增加一行 Disallow: /wp-*

8、安装 Login Lockdown 插件

这个插件可以记录失败的登录尝试的IP地址和时间，如果来自某一个 IP 地址的这种失败登录超过一定条件，那么系统将禁止这一 IP 地址继续尝试登录。

9、WordPress 数据库安全

数据表最好不要使用默认的 wp_ 开头，安装数据库备份插件，无论做了多少保护，你还是应该定期备份你的数据库，使用 WordPress Database Backup 等插件可以实现数据库的定期备份。

10、安装 WordPress Security Scan 插件

这个插件会自动按照以上的安全建议对你的 WordPress 进行扫描，查找存在的问题，使用较为简单。

除此之外还有很多方法。比如直接用 apache 的配置文件来关闭目录浏览这些。

(via:http://www.williamlong.info/archives/1617.html)

Memcached 是一种高性能的分布式内存对象缓存系统。在动态应用，Memcached 既能提高访问的速度，同时还减低了数据库的负载。

Danga Interactive 为提升 LiveJournal.com 的速度研发了 Memcached。目前，LiveJournal.com 每天已经在向一百万用户提供多达两千万次的页面访问。而这些，是由一个由 Web 服务器和数据库服务器组成的集群完成的。Memcached 几乎完全放弃了任何数据都从数据库读取的方式，同时，它还缩短了用户查看页面的速度、更好的资源分配方式，以及 Memcache 失效时对数据库的访问速度。

WordPress 和 Memcache

由于 WordPress 默认支持 Object Cache， 所以在 WordPress 实现 Memcached 就是使用 Memcached 把 WordPress 的 Object Cache 写到内存中去，下次直接从内存中读取。相比直接从数据库去读取数据，或者从 Object Cache 数据存到文件，然后从硬盘中读取，Memcached 有很大的速度优势。

Memcached 命中率

上图是我爱水煮鱼使用 Memcached 之后的缓存对象的命中率，可以看出命中率是非常高，接近 97%，基本上可以保证所有数据都是从能内存中取，所以使用 Memcached 进行缓存是非常有效的。

WordPress 如何启用 Memcached 缓存

1. 需要你的服务器支持，就是你的 PHP 需要安装上 Memcached 扩展。你可以通过 phpinfo() 这个 PHP 函数来检测。

2. 下载 WordPress Memcached 插件：http://wordpress.org/extend/plugins/memcached/。

3. 把下载的：object-cache.php 复制到 wp-content，注意不是 wp-content/plugins/。

4. WordPress 会自动检查在 wp-content 目录下是否有 object-cache.php 文件，如果有，直接调用它作为 WordPress 对象缓存机制。

(via:http://fairyfish.net/m/wordpress-memcached/)

ilost Full 现在提供 1.3 的版本更新了。这次更新提供了 Windows Phone 的设备访问支持以及 IE9 的固定网站模式支持。过几天会提供一个访问本站的 Windows Phone 客户端。

IE9 的固定网站模式说白了就是可以把网站当成一个桌面程序来在任务栏和开始菜单上面留下一个图标固定下来。方便下次访问。而且这个模式还可以定制网站在任务栏图标上的右键快捷菜单。这个功能现在淘宝和支付宝已经开始使用了。使用方法就是拖动在IE9浏览器的标签页到任务栏上面就行了。

iPad 方面在横屏访问模式下添加可以收缩边栏的按钮。而且边栏上面还也新加了一个 demo 按钮，demo 按钮的使用方法和 下载按钮一样。主题的 images 目录下的 iosicons 目录里面的内容 都是 iOS 的桌面图标和启动画面模版。是提供给 WebApp 模式使用的。也就是支持直接在 iOS 的 Safari 上的那个添加到主屏幕功能。这个 1.2 就支持了的。

某天发现使用这个主题的用户也有一些在台湾和香港的用户，这次更新就为你们提供了繁体字语音包的支持。不过制作这个的时候和我以前在台资公司的经历有点关系，估计在有些语义上的会有点差异，希望指出。

之前的浏览器不能复制的问题只会出现在 Google Chrome 浏览器上，其余浏览器正常。其实这个是自动复制文章地址到剪贴板的JS 不支持 Google chrome 导致的。所以我就把这部分JS 独立出来，并可以在后台的主题选项里面配置是否启用，默认是没有启用的。如果需要这个功能的就自己启用了。就说这么多了，来看看更新条目吧。

iLost Full 1.3 更新如下：

1. 添加对 Windows Phone 的访问支持；
2. 添加 IE9 的任务栏图标和任务栏菜单支持；
3. 可以配置是否在复制操作的时候自动添加来源地址；
4. 替换低版本 IE 的 HTML5 支持脚本；
5. 添加 zh_TW 和 zh_HK 繁体语言包支持；
6. 边栏添加 demo 按钮，使用方法和下载按钮一样；
7. 调整了部分CSS样式；
8. 添加对站外链接的CSS识别；

已经购买了的将会在最近这几天收到更新包。新购买的那就是最新的这个版本了。建议更新主题后，更新一下主题选项。

新版的售价依然是 RMB 26.90 。点击侧边栏顶部的购买按钮就可以购买了。

要是你有什么好的建议可以提出来。我会考虑下次更新的时候是否会加上去的。今后的更新可能只是修复问题的更新了。
好了，等 Window 8 去了。

这个更新主要是针对 iOS 设备进行的更新。修复了 1.1 在 iPad 下的错位问题。添加了 iOS 设备的通用网页图标和启动画面图片。这些图片都在主题的 images 目录下面的 iosicons 目录内。只需按照给出的尺寸进行替换就可以了。

如要自己建立个新的图标，那么请注意一下以下图标的尺寸的单位，为像素(px)：

• iPhone 1、3G、3GS：57 x 57；
• iPhone 4、4S：114 x 114；
• iPad：72 x 72；

启动画面的文件名都是以 screen 开头的，请自己按照样板的尺寸直接修改图片即可。不过横屏的启动画面都显示不出来。但是在 iOS 的模拟器里面确是正常的。

虽然 1.0 和 1.1 已经支持了的。不过这次更新来支持得更加完善了。Android 手机和 Windows Phone 7 的支持会再以后的 1.3 推出。

现在来看看更新条目吧。

ilost Full 1.2 更新如下条目：

• 版本更新到 v1.2
• 调整 jQuery 库设置的调用
• 优化 WP 函数的 SQL调用
• 更新 iPad 的 CSS 样式
• 添加 iOS 的添加到主屏幕图标和启动画面样板
• 使用 HTML5 的本地缓存缓存主题的资源文件

已经购买了的将会在最近这几天收到更新包。新购买的那就是最新的这个版本了。这次升级请删除老版本。

新版的售价依然是 RMB 26.90 。点击侧边栏顶部的购买按钮就可以购买了。

1.3 会加入个查看 demo 的边栏按钮。也会把首页的自定义字段进行调整。这次还提供这个主题的 Yo2.cn 版本销售。价格一样。需要在购买的时候注明是 Yo2.cn 的版本。

这次更新主要是把JS 给整理了一下，并且优化了加载速度。顺道整理了一下PHP 的函数语法这些的。

更新条目如下：

• 版本更新到1.3；
• JS加载优化；
• PHP 脚本整理；
• 修复图片延时加载的JS插件；

更新可以点击边栏底部的下载按钮或直接 用 WP 的后台更新就行了。

PS：本站的新主题正在秘密打造中。到时候估计会给你们一个全新的感觉。

不过 Apache 可以通过修改 .htaccess 文件来实现。

方法是在 .htaccess 添加如下代码即可。

<IfModule mod_rewrite.c>
RewriteRule ^login$ ./wp-login.php [NC,L]
</IfModule>

这个文件要放在站点根目录下面。而且这段代码不受更换域名影响的。

这个更新推迟了一周半。不过还是赶在 2012 年前放出了。这个月公司里面的事情太多了。就影响到这个了。编写这个主题的 PDF 使用指南也浪费了几天时间。

这次放出的版本和本人现在使用的版本只有 0.1% 的差异。还有因为上传发布过后装有这个主题源文件的 U 盘丢失了一些数据。就用网站上的版本来清理出来了这个版本的更新了。发布版和我使用的版本的差别就在我现在使用的版本添加了 IE9 扩张功能的支持。不过，这个功能调试好了后，会在 1.2 的时候提供的。

这个版本添加了一个代码高亮的插件，不过这个插件很简单。满住基本需要用途了。要是不满意就等下次1.2 看看能不能找到一个好点的来替换了。

小工具也是增加到了6个，有个需要 WP-PostViews 插件的支持。主题选项也优化了一下。使用 Tab 布局。抛弃了 JS 的 Tab 布局。主题选项里面就去掉了一个设置CMS 模板页 ID 的设置。这个改成自动获取了。并将 PHP 调用优化了一下。JS 的载入也进行了优化。JS 全部按需调用了。页面加载速度也快了很多。还拆解了一个站点地图的插件放在了主题里面。估计一会就只提供2个文件就可以实现主题更新了。呵呵。

就先说这么多了。来看看更新条目吧。

ilost Full 1.1 更新如下条目：

• 版本更新到 v1.1
• 使用 Tab 页的主题选项
• 主题选项移除 CMS 首页模板页的 ID 设置，改为自动获取
• 主题选项增加 jQuery 库的地址设置
• 优化 JS 加载速度
• 部分 CSS 样式优化
• 部分 PHP 函数调用优化
• 集成了一个简单的代码高亮插件
• 添加面包屑导航
• 添加最近访客小工具
• 添加最近评论小工具
• 添加最受欢迎文章小工具（需要 WP-PostViews 插件的支持）
• 更新图片延时加载插件
• 更新最近评论列表函数，加入评论者头像显示。
• 修复不能复制文字的BUG
• 添加 PDF 版的使用指南文档
• iOS 设备样式更新

已经购买了的将会在最近这几天收到更新包。新购买的那就是最新的这个版本了。

新版的售价依然是 RMB 26.90 。点击侧边栏顶部的购买按钮就可以购买了。

很想和这个主题做个告别了，但是还是放不下。就继续更新了。

离上次更新有很长一段时间了。这次更新优化了 HTML5 的代码结构，并使用了新的 CSS 重置样式。调整了后台选项。对 PHP 和 JS 代码 的进行了优化。添加了 guestbook 模板页。

更新条目如下：

• 版本更新到 1.9.1；
• 宽度调整到 960px；
• 新的HTML5 代码框架；
• 新的CSS 重置样式；
• JS 代码优化；
• PHP 代码优化；
• 移动短代码的说明页面到主题菜单下；
• 部分 CSS 和图片效果更新；

更新下载可以直接访问主题目录，也可以直接在WP后台更新。

另外今天 WordPress 3.3 正式版已经上线了。

wopus.org 网站上受影响的主题有以下5款，请大家及时查看自己的主题是否存在类似问题。

Colossus

ZCool Like

PixLog

Zeta Theme

Tripress

使用这几个主题的兄弟就请注意一下。

这段恶意程序的特征如下：

functions.php 文件中如果存在这几个函数，就可能已经被恶意程序修改，请及时查找所有的主题文件，删除相关函数的代码。

_verify_isactivate_widgets 或者 _check_isactive_widget
_get_allwidgetscont
_prepare_widgets
__popular_posts

wopus.org 的反应速度很快的。那篇文章一发过一会就通过饭否联系上我了。不过我由于工作繁忙就没用即使回复了。先对 wopus.org 的朋友说声抱歉。

另外，本站的豆瓣小组地址为：http://www.douban.com/group/114072/

欢迎各位关注本人的朋友加入，并且一起讨论。

情况是这样的。由于我自己的本地环境上面的 WorePress 是开启了 DEBUG 调试模式了的。就发现下载的那个主题启用后报告有10多个变量没有检测到的警告。然后就没有管他。我就试着先注释掉那部分代码，却发现主题使用正常。然后我就把注释掉的代码处理掉了。

等我给他改完后却发现我自己本地环境的主题里面的WP 默认主题也有了相同的变量警告。我就开始怀疑了。然后就打开默认主题的主题函数文件，却看到了和那个主题里面的被我注释掉的代码复活了。

我开始意识到这是一个类似病毒东西。于是我简单的看了一下那段代码，这段代码的头部是扫描 WP 主题目录里面的全部主题的文件。扫描数据库的评论相关的表和字段，还有文章密码、文章摘要、文章内容这些内容。估计是给垃圾评论发布者用的了。

我就把这事写出来提个醒，各位在下载主题的时候要留个心眼儿了。建议都去WP主题目录下载好点了，至少 WP 官方会对主题的安全负责的。

那个代码为了避免被别人在此利用我做成图片贴上来了。代码如下：

PS: 360应该搞个清理这些的工具，呵呵